32步WordPress网站安全终极检查清单：第1~5步

网站安全，是许多WordPress新手容易忽略的一个重要问题。如何确保WordPress网站安全，也是许多刚刚接触WordPress的用户面临的一个难题。WordPress中文网本系列教程教你介绍一系列的步骤，来保护你WordPress网站的安全。这一些列步骤共分32步，今天介绍第1~5步。

全文目录

32步WordPress网站安全终极检查清单 – 目录

1. 保持使用最新版本的WordPress

总是有许多WordPress用户禁止WordPress内核程序自动更新功能，因为他们担心“升级可能会出现插件不兼容问题”。

这是非常错误的想法。

我们对比一下，一面是有漏洞可能会被黑的网站，一面是临时插件不兼容的网站，你觉得哪一个问题更严重？

插件偶尔会出现不兼容WordPress最新版本的情况，但往往指示很短的一段时间。而网站一旦被黑，则是比较严重的问题。每次WordPress内核更新，都会修复许多新近发现的漏洞。如果你的WordPress内核程序没有更新，那么你的网站就可能因为这些漏洞而受到攻击。

WordPress默认允许小版本号的自动更新，但不允许主版本号的自动更新。比如说，如果你现在安装的是WordPress 4.6，那么在WordPress 4.6.1发布之后，你的网站将会被自动更新到4.6.1。如果将来发布了WordPress 4.7，你的网站不会自动更新到此版本，需要你在后台点击按钮进行手动升级。

当然，你可以自己在配置文件wp-config.php中进行设置。把下面这行代码放到wp-config.php文件的适当位置：

define( 'WP_AUTO_UPDATE_CORE', true );

这句代码定义了是否允许WP内核代码升级的状态。在这里有三种状态：

• true：允许主版本、小版本、开发版本的自动更新；
• false：禁止主版本、小版本、开发版本的自动更新；
• minor：允许小版本的自动更新，但不允许主版本和开发版本的自动更新。

系统默认参数为minor，你也可以将其修改为 true 或者 false 。

2. 不要修改WordPress的内核代码

一旦你自己或者你的程序员编辑了WordPress的内核代码，那么你就不能再使用WordPress的自动升级功能来更新到最新版本了。因为自动更新之后，你对WordPress内核代码所做的编辑，都会全部丢失。

这样的话，一旦发现WordPress有新漏洞，而你的网站又不能进行及时升级，那么你的网站就有危险。你就必须手动来修复这些漏洞，但是这样将会耗时耗力；但不进行修复的话，网站又存在风险。

那么，当你想要修改WordPress功能的时候怎么办呢？答案很简单：写一个插件，自己网站专用的插件。插件可以让你无需改动WordPress内核代码就可以实现你想要的功能。

同样，这样的逻辑也适用于你的插件和主题。当你想对插件和主题进行适当微调之后，你也将面临无法更新到最新版本的问题。而不更新的话，网站又不安全。

对于插件和主题，都有相应的解决方案，可以让你无需修改插件和主题代码就可以完成所需要的功能。如果你的开发者建议你直接修改插件和主题的代码，那么建议你立即换一个开发者。

3. 确保所有插件更新到最新版本

和WordPress内核部分一样，第三方开发的WordPress插件（及主题）也可能会存在漏洞。我们在2016年第1季度的WordPress安全趋势报告一文中专门介绍过，热门插件中存在的漏洞，是很多WordPress网站被黑的重要原因。

我们无意在本文中重新列出这些插件的名字。漏洞，是大多数软件都无法避免的问题。但是，如何处理软件漏洞暴露出来的问题，可以看出公司维护人员的水平。

很多时候，只要一发现问题，插件的开发者就会立即修复并发布更新版本。

然后，你的责任就是要立即将插件更新到最新版本，否则，你的网站就可能会被黑客攻击。

不管你是手动升级，还是自动升级，都要记得保持插件更新。

你可以设置自动从WordPress插件目录自动更新插件，只需要将以下代码放到你的WordPress主题的函数模板functions.php文件中中：

add_filter( 'auto_update_plugin', '__return_true' );

不过，这个语句仅对下载子WordPress.org官方插件目录的插件有效。下载自其他商业网站的插件，有自己的更新机制，也同样需要你保持更新。

4. 移除所有未启用的插件

随着你安装插件数目的增加，这些插件存在漏洞的可能性也就越大。

有时候，我们安装插件来测试它们的功能，然后忘记了移除这些插件。如果这些插件暴露出漏洞，那么你的网站可能就会成为攻击目标（尤其是如果没有升级到最新版本的话）。

即使这些插件没有激活，你的网站也可能被攻击。

要将风险降至最低，最安全的办法彻底删除不用的插件。要找到哪些插件没用很简单，只要这个插件没有启用（激活），就是没有使用的插件。

删掉这些插件。

同样，对于那些已经激活但是并没有用的插件，要一并删除。还有一点，要测试插件的话，别在你的生产网站中测试。你可以创建一个测试副本（在本地进行测试，或者其他的服务器上）。然后在测试版本的网站中来测试插件。

5. 确保所有主题更新到最新版本

及时升级到最新版本，不仅适用于WordPress内核程序和WordPress插件，也同样适用于WordPress主题。保护WordPress网站安全，就要把所有的主题都更新到最新版本。否则，任何已经修复的主题漏洞，仍将存在于你的网站之中。

你可能会想，你已经对主题做了个性化修改，做了许多调整，如果升级的话，这些改动都将会丢失。对于这个问题，正确的解决办法是，所有的主题微调，都应该通过子主题来设置，而不是直接修改原来的主题。这样，你可以直接升级WordPress主题到最新版本，而无需担心影响你的网站。

如果你想做的彻底一些，你还可以删除所有其他没有使用的主题。

同样，你可以设置从WordPress.org自动升级主题到最新版本。你只需要将以下代码放到所用主题的函数模板文件functions.php中：

add_filter( 'auto_update_theme', '__return_true' );

当然，这仅对下载自WordPress.org官方主题目录的主题有效。

其他商业主题有自己的更新升级机制，也同样需要你保持更新。

如果你不擅长编辑WordPress的wp-config.php文件及functions.php文件，你也可以安装Advanced Automatci Updates（高级自动更新）插件来进行设置。它可以设置以上各种设置。

（未完，待续…）